Er is een kritieke beveiligingslek gevonden in het code-projects Voting System versie 1.0. Door een probleem in de /admin/candidates_add.php functie kan een aanvaller ongecontroleerd bestanden uploaden. Deze kwetsbaarheid, aangeduid als CVE-2025-8174, kan op afstand worden misbruikt. Openbare exploitcode is reeds bekend, wat het risico op aanvallen verhoogt.
Het probleem is te wijten aan onvoldoende toegangscontrole en de mogelijkheid van onbeperkte uploadfunctionaliteit, waardoor kwaadwillenden mogelijk schadelijke bestanden kunnen uploaden. Met een CVSS-score van 6.3 is dit een ernstig probleem dat onmiddellijk aandacht vereist.
Overzicht
- Impact: Onbeperkte bestandupload via
/admin/candidates_add.php - Kwetsbaarheidsvormen: Onbeperkte upload (CWE-434), Onjuiste toegangscontrole (CWE-284)
- CVSS Berekening: CVSS 3.1 en 3.0 scores van 6.3 (Middelmatig risico)
- Exploiteerbaarheid: Openbaar beschikbare exploit
Aanbevelingen
- Controleer het Voting System op aanwezigheid van de kwetsbare versie en breng indien mogelijk een update aan naar een beveiligde versie.
- Pas tijdelijke maatregelen toe door toegangsbeheer strikter toe te passen op de betreffende scripts.
- Volg security blogs en advisories voor eventuele updates.
Bronnen
- VDB-317588 | code-projects Voting System candidates_add.php unrestricted upload
- VDB-317588 | CTI Indicators
- Submit #621586 | code-projects Voting System 1.0 Unrestricted Upload
- Issue op GitHub
- Code-projects
Vraag en Antwoord
Wat is CVE-2025-8174?
Dit is een unieke identificatie voor een kwetsbaarheid in het code-projects Voting System waarbij onbeperkte uploads mogelijk zijn, aangegeven als kritiek.
Welke systemen zijn kwetsbaar voor CVE-2025-8174?
Alle implementaties van code-projects Voting System versie 1.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er zijn op dit moment geen patches beschikbaar; het is belangrijk om de systemen te monitoren en best practices voor beveiligingsconfiguratie te volgen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden uploaden die de integriteit en veiligheid van het systeem compromitteren, wat kan leiden tot verdere uitbuiting en gegevensverlies.
